Kennwortrichtlinie

[Thunder]

Moinsen,

ich versuche gerade unsere Kennwortrichtlinie anzupassen.
Es soll jetzt aus 8 Zeichen bestehen und aus einer Mischung von Groß/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen.
Und zwar muss man immer 2 von diesen 3 Möglichkeiten im Kennwort enthalten haben. (Also zB 1 Großbuchstabe und 1 Ziffer oder 1 Ziffer und 1 Sonderzeichen...)
Kann man sowas in Notes bewerkstelligen?
Ich kann einstellen, dass mindestens 1 Ziffer oder 1 Sonderzeichen oder ... enthalten sein muss - aber das wäre dann ja fest.
Dann gibt es noch 'Mindestanzahl von Nicht-Kleinbuchstaben', aber dann kann mein Paßwort auch einfach mehrere Ziffern enthalten und gut. 

Gruß
Remko

[Thunder]

OK. Scheint so wohl nicht möglich zu sein. Habe noch ein wenig herumprobiert.

Habe aber noch 2 weitere Fragen zu Notes und Paßwörter.

- wird irgendwo protokolliert, wann sich wer in Notes einloggt? In den Log.nsf gibt es nur Opened Session/Closed Session und gilt wohl nur für das Öffnen von Datenbanken.
 - kann man irgendwo einstellen, dass Notes nach x Anmeldeversuchen gesperrt wird?

Gruß
Remko

[ascabg]

Hallo,

Frage 1.
Soweit ich weiss, wird es nicht protokolliert.

Frage 2.
Beim Arbeiten ueber einen LN-Client und ID-File -> Nein.
Beim Arbeiten ueber iNotes -> Ja


Andreas

[Hartie]

Für eine zu validierende Notes-Anwendung wird bei uns folgendes gefordert:

"The computerized system and application must track unsuccessful attempts to logon, and lock the account involved after a predefined number of consecutive, incorrect attempts have been made.  [Ref: 21 CFR §11.10(d)]"
was ungefähr Deinen zwei Fragen entspricht:

zu 1. track unsuccessful attempts to logon:
Wenn man bedenkt, dass Notes auch offline Repliken nutzen kann, kann es m.E. keine sichere Möglichkeit zum zentralen Logging von Kennwort-Fehleingaben geben.

Unter Security Events in der log.nsf finde ich noch das, bin aber unsicher, ob das genau diesen Anwendungsfall abdeckt:
" ID for 'Firstname Lastname' (IP Address 10.40.4.93:1733) in vault 'O=XYZ-Vault' was not downloaded because the wrong password was supplied.  Error: Wrong Password. (Passwords are case sensitive - be sure to use correct upper and lower case.)"

zu 2. lock out:
Faktisch wird ein solches Lockout gleichsam auch durch die exponentiell steigende Wartezeit im Kennwort-Dialog von Notes erreicht. Nach 4-5 mal muss man schon elend lange warten, bis man das nächste Kennwort eingeben darf.

Hier bin ich mir ebenfalls unsicher, ob ein C-API-, COM-Klassen oder Notes-Javaklassen-basiertes Programm nicht jedes Mal eine neue Notes-Session eröffnen kann und damit diese exponentielle Wartezeit umgehen kann?

Ich werde berichten, ob uns die Validierungsbehörde diese Einstellungen von Notes abnimmt.

Gruß Hartie

[koehlerbv]

Hier bin ich mir ebenfalls unsicher, ob ein C-API-, COM-Klassen oder Notes-Javaklassen-basiertes Programm nicht jedes Mal eine neue Notes-Session eröffnen kann und damit diese exponentielle Wartezeit umgehen kann?

Es kann nur eine einzige NotesSession geben, die man auch nicht vernichten kann. Und die Authentifizierung findet immer erst gegen das ID-File statt, bei Erfolg wird der Schüssel freigegeben und mit dem kann man dann an den Domino.

Bernhard

[Hartie]

Bernhard,

dass es zu einem Zeitpunkt nur eine einzige Notes-Session auf einem Rechner geben kann, ist mir schon klar.

Die konkrete Frage lautet eher: Muss ein solches Programm auch die exponentiellen Wartezeiten beim Authentifizieren gegen das ID-File in Kauf nehmen, wie der Full-Notes-Client?

Wenn ja, dürfte es ja praktisch keine Brute-Force-Attacken gegen Notes-ID-Files geben, da man die vielen Kennwort-Versuche nicht in vernünftiger Zeit durchführen kann?

Gruß Hartie

[ascabg]

@Hartie

Für eine zu validierende Notes-Anwendung wird bei uns folgendes gefordert:

"The computerized system and application must track unsuccessful attempts to logon, and lock the account involved after a predefined number of consecutive, incorrect attempts have been made.  [Ref: 21 CFR §11.10(d)]"

Wenn ich es so lese heisst das, dass ein Anwender automatisch nach der entsprcehenden Anzahl von Fehlversuchen beim Zugriff auf diese Applikation gesperrt werden soll.
Warum stellt ihr dann nicht die ACL entsprechend so ein, dass nur die berechtigten Personen zugreifen koennen?
Jegliche Versuche von Anwendern, die lt. ACL nicht zugriffsberechtigt sind, werden im 'normalen' Notes-Log (log.nsf) protokolliert.


Andreas

[Thunder]

Danke für die Antworten.
Ich prüfe gerade eine Arbeitsanweisung für unsere grundsätzlichen Passwortregeln. Dort steht halt, dass diese Dinge umgesetzt werden sollten - soweit technisch möglich !
Wollte mich nur vergewissern, dass ich da nichts übersehe.

@Hartie: Das mit den offline Repliken klingt plausibel.
               Bei mir wird gar nichts in den Security Events angezeigt. Fehlt da ein Task bei mir?

Remko

[Hartie]

 Andreas:

Natürlich lässt die ACL nur berechtigte User in die Datenbanken rein.

Wenn sich aber ein "Böswilliger" Zugang zu einem PC mit Lotus Notes eines per ACL berechtigen Users verschafft hat und versucht durch Ausprobieren das Notes-Kennwort zu knacken, dann sollen solche Versuche halt protokolliert werden.

Erfolgreicher Zugang zu Notes ist in diesem Fall gleichzusetzen mit erfolgreicher Zugang zur Notes-Anwendung.

Remko: Die Security Events-Meldung kommt m.E. nur, wenn ihr den ID-Vault einsetzt.

Hartie

[ascabg]

@Hartie,
Soweit so gut.
Was aber, wenn der 'boeswillige' es nicht aufd er besagten Applikation versucht, sondern mit dem
Adressbuch, was eigentlich naheliegender ist.
Dann kennt er das Kennwort und kann 'problemlos' auf die Applikation zugreifen.

Wenn, dann muesste die betreffende Applikation eine 'eigene' Benutzerverwaltung beinhalten.


Andreas